南瑞正向隔离装置

询价采购电话: 18351955025
询价采购电话:18351955025

南瑞反向隔离装置

南瑞SysKeeper-2000网络安全隔离装置(反向型)产品说明

SysKeeper-2000网络安全隔离装置(反向型)位于两个不同安全防护等级网络之间的安全防护装置,用于低安全区向高安全防护区的单向数据传递。装置采用电力专用隔离卡,只传输采用E语言格式书写的文本文件,装置对E语言文件进行合规检查,实现这两个网络的信息和资源安全传递,保障电力系统的安全稳定运行。


SysKeeper-2000网络安全隔离装置(反向百兆型)

SysKeeper-2000网络安全隔离装置(反向千兆型)

产品特点

安全裁剪内核,系统的安全性和抗攻击能力强
为了保证系统安全的最大化,SysKeeper-2000网络安全隔离装置(反向型)已经将嵌入式内核进行了裁剪和优化。目前,内核中只包括用户管理﹑进程管理,裁剪掉TCP/IP协议栈和其它不需要的系统功能,进一步提高了系统安全性和抗攻击能力,免于黑客对操作系统的攻击,并有效抵御Dos/DDos攻击。
基于数字证书的签名验证和内容检查机制
采用基于数字证书的数字签名技术,在数据的发送端对需要发送的数据进行签名,然后发给隔离装置;隔离装置收到数据后进行签名验证,并根据用户对数据的定义检查数据文件的格式和内容,支持通用的数据类型和记录分割符,隔离装置将处理过的数据发送给内网的数据接收程序。
基于电力描述语言的内容强过滤
通过隔离装置(反向型)传输的文件都是从低安全区向高安全区进行传输,为了严格保障内网安全,禁止非法文件、病毒文件传输到内网,要对传输的文件内容进行过滤。为此国调中心制定了《电力系统数据描述语言》,提出了电力行业专用的数据描述语言E语言。按照国调中心要求,隔离装置(反向型)支持对E语言文件的格式检查,来对传输的文件进行内容强过滤。
基于纯文本的编码转换和识别
根据电力监控系统安全防护要求,可以对传输的E语言文件进行模式检查,来判断文件的合法性,也可以将纯文本文件中单字符的ASCII码(非控制字符)转换为对应的双字节码,并能正常显示。隔离装置(反向型)提供了专用发送软件在发送文本文件数据时,自动将半角字符转换为全角字符。隔离装置(反向型)对收到的数据进行纯文本的识别,如果数据包中数据为合法的纯文本,反向隔离装置都会按照编码范围正确的识别,保证进入内网的数据为纯文本数据。
完善的密钥管理机制
SysKeeper-2000网络安全隔离装置(反向型)提供基于RSA/SM2公私密钥对的数字签名和采用专用加密算法进行数字加密的功能。进行RSA运算时,为了保证密钥的安全性,提供以密钥的ID号使用密钥的功能,密钥仅存在于反向型网络安全隔离设备的安全存储区中,与应用系统隔离,不能通过任何非法手段进行访问,极大的提高了数据交换的安全性。
割断穿透性的TCP连接
SysKeeper-2000网络安全隔离装置(反向型)采用截断TCP连接的方法,剥离数据包中的TCP/IP头,将外网的纯数据通过反向安全通道发送到内网,同时只允许应用层不带任何数据的TCP包的控制信息传输到外网,保护电力监控系统的安全性。
基本安全功能丰富,可实现在网络中的快速部署
采用综合过滤技术,在链路层截获数据包,然后根据用户的安全策略决定如何处理该数据包;实现了MAC与IP地址绑定,防止IP地址欺骗;支持静态地址映像(NAT)以及虚拟IP技术;具有可定制的应用层解析功能,支持应用层特殊标记识别,为用户提供一个全透明﹑安全﹑高效的隔离装置。
虚拟IP、隐藏MAC地址
网络安全隔离系列产品采用独特的自适应技术,隔离设备没有IP地址,隐藏MAC地址,非法用户无法对隔离设备进行网络攻击,有效的提高了系统的安全性能。
完善的日志审计功能
日志是发现攻击﹑发现系统漏洞和记录攻击证据的重要手段。隔离设备内、外网各板载安全存储区用于系统日志的记载,循环更新保持最新的系统日志。

产品性能

100M LAN环境下,数据包吞吐量43.2Mbps (100条安全策略,1024字节报文长度)
数据包转发延迟:<10ms (100%负荷)
数字签名速率180次/s
满负荷数据包丢弃率:0
1000M LAN环境下,数据包吞吐量166Mbps (100条安全策略,1024字节报文长度)
数据包转发延迟:<10ms (100%负荷)
数字签名速率640次/s
满负荷数据包丢弃率:0